Überprüfen Sie Ihre Webseite auf Datenschutzverstöße

Die Prüfungen und Beschwerden in Bezug auf datenschutzkonforme Einwilligungen bei der Nutzung von Cookies auf Webseiten und Social Media Tools nehmen zu. Die meisten Verstöße gegen die gesetzlichen Vorschriften der Datenschutzgrundverordnung und anderen relevanten Gesetzen sind insbesondere bei Webseiten und Social Media Auftritten (wie z.B. Instagram, Meta, LinkedIn) mit:

  • fehlenden bzw. fehlerhaften Einwilligungen für Marketing-Cookies
  • unzureichend transparenten Informationen zur Datenverarbeitung
  • unvollständigen oder veralteten Datenschutzerklärungen und Impressum

Um möglichen Beanstandungen, Beschwerden und Bußgeldern vorzubeugen, empfehlen wir Ihnen, folgende Punkte zu überprüfen und ggf. anzupassen:

Einwilligungen für Dienste und Cookies:

  • Stellen Sie sicher, dass alle einwilligungspflichtigen Dienste (z.B. Tracking- und Analyse-Tools) sowie Cookies über ein rechtskonformes Consent-Management-System eingebunden sind.
  • Die Einwilligung muss freiwillig, informiert und nachweisbar erfolgen. Eine rein implizite Zustimmung reicht nicht aus.

Transparenz der Datenverarbeitung:

  • Dokumentieren Sie klar, welche personenbezogenen Daten auf Ihrer Webseite verarbeitet werden und zu welchen Zwecken.
  • Diese Informationen müssen leicht zugänglich und verständlich in Ihrer Datenschutzerklärung dargestellt sein.

Aktualität der Datenschutzerklärung:

  • Überprüfen Sie regelmäßig, ob Ihre Datenschutzerklärung auf dem neuesten Stand ist.
  • Berücksichtigen Sie Änderungen in Ihrem Webauftritt, in der verwendeten Technik (z.B. neue Tools, Cookies) und rechtliche Neuerungen.

Microsoft Copilot aus Sicht des Datenschutzes

Microsoft revolutioniert das digitale Arbeiten mit Copilot, einer leistungsfähigen KI-Lösung, die auf natürlicher Sprache basiert und jetzt in Microsoft 365 sowie Windows 11 integriert ist. Was bietet Copilot wirklich? Vom Erstellen komplexer Dokumente bis hin zur Verwaltung umfangreicher Daten: Die KI eröffnet neue Möglichkeiten für Unternehmen und Benutzer.

Doch wie sieht es mit dem Datenschutz aus? Microsoft Graph fungiert als zentraler Datenknoten, der Daten effizient verarbeitet, aber auch datenschutzrechtliche Fragen aufwirft. Eine wesentliche Rolle spielt hier auch das Datenschutz-Tool „Purview“, das Kontrolle über den Umgang mit KI-gestützten Diensten wie Copilot bieten soll. Die umfassende Nutzung dieser KI-Plattform birgt neben Produktivitätspotenzial auch Herausforderungen, die einen genaueren Blick wert sind.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Microsoft_Copilot_aus_Sicht_des_Datenschutzes.pdf

Datenschutz mit der neuen Version von Microsoft Outlook

Seit August führt Microsoft mit dem Update auf Windows 11 24H2 das neue Outlook ein – eine Plattform, die Anwendungen wie Windows Mail und den Kalender ersetzen soll. Diese Umstellung birgt erhebliche datenschutzrechtliche Herausforderungen, da alle E-Mails und Anmeldedaten über Microsoft-Server laufen. Dies gilt auch für Nutzer, deren Postfach bisher nicht bei Microsoft gehostet war, was neue Pflichten nach sich zieht.

Wichtige Datenschutz-Aspekte Besonders relevant für Unternehmen und Datenschutzverantwortliche: Viele zentrale Datenschutzfunktionen wie das Trust Center fehlen in der neuen Version. Zudem unterstützt das neue Outlook aktuell nur Exchange Online – ein potenzielles Problem für Nutzer, die lokale Exchange-Postfächer betreiben. Auch die Einbindung von speziellen Erweiterungen oder Sicherheitslösungen muss getestet werden, um die Kompatibilität sicherzustellen.

Handlungsbedarf für Unternehmen Das klassische Outlook bleibt voraussichtlich bis 2029 verfügbar, aber Unternehmen sollten sich frühzeitig Gedanken machen, ob und wie sie den Wechsel auf das neue Outlook angehen – insbesondere, um Datenschutzfragen im Voraus zu klären. IT- und Datenschutzabteilungen stehen vor der Aufgabe, diese Umstellung sicher zu begleiten und gegebenenfalls Maßnahmen wie das Blockieren des neuen Outlooks zu prüfen.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Datenschutz_mit_der_neuen_Version_von_MS_Outlook.pdf

Neue Orientierungshilfe zum Thema „Gemeinsame Verantwortlichkeit“

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat eine neue Orientierungshilfe zur Gemeinsamen Verantwortlichkeit nach Artikel 26 der DSGVO veröffentlicht. Diese Rechtsfigur, die oft für Unsicherheiten sorgt, regelt die vertragliche Zusammenarbeit zwischen gemeinsam Verantwortlichen und wird laut BayLfD häufiger angewendet als bislang angenommen.

Die Orientierungshilfe bietet konkrete Handlungsempfehlungen für öffentliche Stellen in Bayern, ist aber auch für Verantwortliche außerhalb des Bundeslandes relevant. Ziel ist es, Berührungsängste abzubauen und mehr Klarheit im Umgang mit der gemeinsamen Verantwortlichkeit zu schaffen.

Zuvor haben bereits die Datenschutzkonferenz und der Datenschutzbeauftragte Baden-Württembergs durch Veröffentlichungen und Vertragsmuster zur Klärung beigetragen. Auch die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat mit einer Praxishilfe und einer Checkliste zusätzliche Unterstützung für Datenschutzpraktiker bereitgestellt.

Lesen Sie mehr unter:
https://www.datenschutz-bayern.de/infothek/OH_Gemeinsame_Verantwortlichkeit.pdf

DSFA: Leitfaden für Microsoft 365

Microsoft hat kürzlich eine Stellungnahme zur Datenschutz-Folgenabschätzung (DSFA) für Office 365 veröffentlicht. Laut Microsofts eigener Aussage ist die Nutzung von Office 365 in der bereitgestellten Form nicht automatisch mit einem Risiko verbunden, das eine DSFA nach Art. 35 DSGVO erfordert. Ob eine solche Bewertung notwendig wird, hängt vielmehr davon ab, wie Sie als Verantwortlicher Office 365 konfigurieren und verwenden.

Wichtiger Hinweis für Datenverantwortliche

Microsoft betont, dass erst durch die spezifische Art und Weise, wie Sie die Software einsetzen, potenzielle Risiken entstehen können, die eine DSFA notwendig machen könnten. Unabhängig davon, ob man diese Auffassung für überzeugend hält, können interessierte Verantwortliche auf den Seiten von Microsoft einen neuen Leitfaden abrufen. Dieser soll Sie als Datenverantwortlicher dabei unterstützen, zu entscheiden, ob eine DSFA erforderlich ist und wie Sie diese gegebenenfalls umsetzen.

Inhalt des neuen Leitfadens

  • Teil 1: Bietet grundlegende Informationen zu Office 365 und hilft Ihnen bei der Entscheidung, ob eine DSFA erforderlich ist.
  • Teil 2: Enthält allgemeine Antworten und die notwendigen Elemente für eine DSFA, relevant für alle Office-365-Dienste.
  • Teil 3: Stellt produktspezifische Informationen bereit, die auf die wichtigsten Bedürfnisse der Kunden abgestimmt sind. Zusätzlich wird ein anpassbares DSFA-Dokument bereitgestellt, das Ihnen die Durchführung erleichtern soll.

Welche Dienste sind betroffen?

Office 365 umfasst eine Vielzahl an Anwendungen und Diensten, darunter Exchange Online, SharePoint, OneDrive für Arbeit und Schule, Viva Engage und Microsoft Teams. Eine vollständige Liste der verfügbaren Dienste finden Sie in den Tabellen des Leitfadens.

Lesen Sie mehr unter:
https://learn.microsoft.com/de-de/compliance/regulatory/gdpr-dpia-office365

SDTB veröffentlicht neue Auflage von „Achtung Kamera!“

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat eine neue Auflage der Broschüre „Achtung Kamera!“ veröffentlicht. Diese richtet sich an Privatpersonen, Unternehmen und Behörden und bietet umfassende Informationen zur datenschutzkonformen Videoüberwachung.

Die Broschüre behandelt folgende zentrale Themen:

  1. Rechtliche Rahmenbedingungen: Sie erklärt die gesetzlichen Vorgaben der DSGVO und des BDSG, die für Videoüberwachung gelten. Insbesondere wird auf die Notwendigkeit einer klaren Rechtsgrundlage für jede Form der Datenverarbeitung hingewiesen.
  2. Transparenz- und Informationspflichten: Es wird erläutert, wie Überwachungskameras gekennzeichnet werden müssen, damit Betroffene ausreichend informiert sind. Dies umfasst auch die Pflicht, durch Hinweisschilder auf die Überwachung aufmerksam zu machen und welche Details darauf enthalten sein müssen.
  3. Datensparsamkeit und Speicherfristen: Die Broschüre betont die Wichtigkeit der Datensparsamkeit und fordert, dass Daten nur so lange wie nötig gespeichert und danach gelöscht werden müssen.
  4. Betroffenenrechte: Es wird auf die Rechte der überwachten Personen eingegangen, einschließlich ihres Rechts auf Auskunft über die gespeicherten Daten und deren Löschung.
  5. Praktische Empfehlungen: Die Broschüre enthält konkrete Beispiele und Hinweise, wie typische Fehler bei der Videoüberwachung vermieden werden können.

Die Broschüre zielt darauf ab, das Bewusstsein für den verantwortungsvollen und rechtskonformen Einsatz von Videoüberwachung zu schärfen und den Schutz der Privatsphäre zu stärken.

Lesen Sie mehr unter:
https://www.datenschutz.sachsen.de/download/Achtung_Kamera.pdf

Sächsische Datenschutz- und Transparenzbeauftragte kontrolliert Websites

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) kontrolliert 30.000 Websites und weist 2.300 Verantwortliche auf Datenschutzverstöße hin

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat im Mai dieses Jahres eine umfassende Kontrolle von rund 30.000 sächsischen Webseiten auf Datenschutzverstöße durchgeführt. Dabei lag ein besonderer Fokus auf der Nutzung des Webanalyse-Tools Google Analytics.

Fehlende Einwilligung in Tracking:
Zahlreiche Website-Betreiber (Unternehmen, Vereine und öffentliche Stellen) versäumten es, die notwendigen Voraussetzungen für die datenschutzkonforme Nutzung von Google Analytics zu schaffen. In ca. 2.300 Fällen fehlte die erforderliche Einwilligung der Nutzer zum Tracking ihres Website-Verhaltens.

Konsequenzen für Website-Betreiber:
Die SDTB versendet in den kommenden Tagen Schreiben an die betroffenen Verantwortlichen. Diese werden aufgefordert, den Datenschutzverstoß zu beseitigen und alle rechtswidrig erhobenen Daten zu löschen. Bei Nichtbeachtung droht ein förmliches Verwaltungsverfahren mit möglichen Bußgeldern.

Datenschutz geht vor:
Dr. Juliane Hundert, die Sächsische Datenschutz- und Transparenzbeauftragte, betont: „Tracking-Dienste wie Google Analytics gewähren tiefe Einblicke in das Verhalten und die Privatsphäre von Website-Besuchern. Der Datenschutz hat hier höchste Priorität. Website-Betreiber, die Google Analytics nutzen möchten, müssen zwingend die Einwilligung der Nutzer einholen.“

Neues IT-Labor für Online-Kontrollen:
Um die Durchsetzung des Datenschutzes im Online-Bereich weiter zu stärken, hat die SDTB ein modernes IT-Labor eingerichtet. „Das Labor ermöglicht uns die datenschutzrechtliche Analyse von Websites, Apps und IT-Produkten mithilfe modernster Hard- und Software. So sind wir für künftige Kontrollen im Online-Bereich bestens gerüstet“, so Dr. Hundert.

Weitere Informationen:
Detaillierte Informationen zum rechtskonformen Einsatz von Google Analytics und anderen Tracking-Diensten finden Sie auf der Website der Sächsischen Datenschutz- und Transparenzbeauftragten: https://www.datenschutz.sachsen.de/cookies-und-tracking.html

Zur Pressemitteilung der SDTB:
https://www.medienservice.sachsen.de/medien/news/1076636

Was nutzen Sie auf Ihrer Webseite?

CheckConsent-Tools & Cookies
CheckGoogle Analytics
CheckKontaktformular
CheckWebshop
CheckGeschützter Nutzerbereich

Gern überprüfen wir Ihre Webseite und/oder Ihres Online-Shop auf Gesetzeskonformität
Das Audit umfasstAllgemeine und technische Prüfung auf Konformität nach DSGVO und TDDDG
sowie weiterer relevater GesetzePrüfung des ImpressumsInhaltliche Prüfung der DatenschutzerklärungMit dem Auditbericht erhalten Sie Hinweise und Handlungsempfehlungen, ggf. Textbausteine zur schnellen und sicheren Umsetzung auf Ihrer Webseite.

Fordern Sie noch heute Ihr individuelles Angebot an
dsb@prodatis.com | 0351 266 23 30

EuGH: Mehr Arbeitnehmerüberwachung!

Erfahren Sie, wie der EuGH zu dem überraschenden Schluss gelangt ist, dass Unternehmen ihre Arbeitnehmer konsequent überwachen müssen, um Forderungen nach DSGVO-Schadensersatz erfolgreich abzuwehren.

Kürzlich hat der Europäische Gerichtshof (EuGH) entschieden, dass Unternehmen grundsätzlich für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) haften, selbst wenn diese Verstöße von Mitarbeitern begangen wurden, die interne Richtlinien nicht eingehalten haben. Unternehmen müssen nicht nur nachweisen, dass sie ihre Mitarbeiter zu datenschutzkonformem Verhalten angeleitet haben, sondern auch sicherstellen, dass diese Anweisungen von den Mitarbeitern korrekt umgesetzt werden.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/EuGH_Mehr Arbeitnehmerueberwachung.pdf

Urteil des Europäischen Gerichtshofs:
Aktenzeichen C‑741/21

Datenschutz bei Mitarbeiter-Apps

Im Zuge einer steigenden Tendenz setzen immer mehr Unternehmen auf Mitarbeiter-Apps, die sich sowohl auf Smartphones als auch auf PCs, Laptops oder Tablets nutzen lassen. Besonders während der Umstellung von Büroarbeit auf Homeoffice dienen diese Anwendungen vorrangig dem Austausch von Wissen und der Verbesserung der Vernetzung.

Durch solche Apps können Unternehmen beispielsweise Mitarbeiterinnen und Mitarbeitern unabhängig von ihrem Standort und der Uhrzeit wichtige interne Neuigkeiten mitteilen oder mit ihnen kommunizieren. Zusätzlich können sie für Aufgaben wie die Zeiterfassung, das Einreichen von Urlaubsanträgen sowie für digitale Schulungen oder Pflichtunterweisungen genutzt werden.

Doch was ist aus Sicht des Datenschutzes zu beachten? Trotz aller Flexibilität und Vielfalt dürfen Arbeitgeber die Anforderungen an eine datenschutzkonforme Nutzung von Mitarbeiter-Apps nicht vernachlässigen. Für die Verarbeitung personenbezogener Daten von Beschäftigten im Zusammenhang mit diesen Apps ist gemäß Artikel 5 Absatz 1 Satz 1 Buchstabe a und Artikel 6 der Datenschutz-Grundverordnung (DSGVO) grundsätzlich eine geeignete Rechtsgrundlage erforderlich. Diese hängt von den Zielen ab, die mit der App verfolgt werden, sowie von den spezifischen Funktionen.

Lesen Sie mehr unter:
https://www.datenschutz-prodatis.com/nl/Datenschutz_bei_Mitarbeiter-Apps.pdf

DSK veröffentlicht Orientierungshilfe „Künstliche Intelligenz und Datenschutz“

Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ zielt darauf ab, Unternehmen, Behörden und andere Organisationen zu unterstützen. Sie fungiert als Checkliste und Leitfaden, um KI-Anwendungen auszuwählen, zu implementieren und zu nutzen. Diese Orientierungshilfe wird kontinuierlich weiterentwickelt und an aktuelle Entwicklungen angepasst.

Aktuell stellen sich viele öffentliche und private Einrichtungen die Frage, unter welchen Bedingungen sie KI-Anwendungen datenschutzkonform einsetzen können.

Ein besonderes Augenmerk liegt dabei auf den sogenannten Large Language Models (LLM), die oft als Chatbots genutzt werden, aber auch als Grundlage für andere Anwendungen dienen können. Deshalb liegt der Fokus der Orientierungshilfe „KI und Datenschutz“ auf diesen KI-Anwendungen. Trotzdem gibt es viele weitere KI-Modelle und -Anwendungen, für die die Erwägungen in dem von der Datenschutzkonferenz veröffentlichten Papier von Bedeutung sind.

Die Orientierungshilfe behandelt praxisnahe Fragen, die Datenschutzbeauftragte bei der Konzeption, Auswahl, Implementierung und Nutzung von KI-Anwendungen berücksichtigen müssen. Von der Zweckbestimmung über Transparenzpflichten bis hin zu Betroffenenrechten und der Richtigkeit von Ergebnissen werden wichtige Kriterien entlang der Vorgaben der Datenschutz-Grundverordnung erörtert und Leitlinien für entsprechende Entscheidungen aufgezeigt.

Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ wurde von der Taskforce KI unter dem Vorsitz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz erarbeitet. Die Taskforce KI der Datenschutzkonferenz hat bereits 2019 die Hambacher Erklärung zur Künstlichen Intelligenz veröffentlicht und beschäftigt sich derzeit mit der datenschutzrechtlichen Prüfung des Dienstes ChatGPT.

Die Orientierungshilfe richtet sich auch indirekt an Entwickler, Hersteller und Anbieter von KI-Systemen, da sie Hinweise zur Auswahl datenschutzkonformer KI-Anwendungen enthält, die sich auf die Produktgestaltung auswirken können. Die Entwicklung von KI-Anwendungen und das Training von KI-Modellen sind jedoch nicht der Schwerpunkt dieser Orientierungshilfe.

Download der Orientierungshilfe:
datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf

Weitere Orientierungshilfen und Checklisten der DSK:
datenschutzkonferenz-online.de/orientierungshilfen.html